Archiv für den Monat: Juni 2015

Einstellungen für die Benutzung von Fremailer mit Outlook

POP3 IMAP SMTP

1 & 1
Posteingangsserver: POP3: pop.1und1.de (SSL Port 995), IMAP: imap.1und1.de (SSL Port 993)
Postausgangsserver: smtp.1und1.de (SSL Port 465)
Benutzername: IhreE-Mail@IhreDomain.xyz

all-inkl.com
Posteingangsserver: POP3: pop3.IhreDomain.xyz, IMAP imap.IhreDomain.xyz
Postausgangsserver: smtp.IhreDomain.xyz
Benutzername: E-Mail-Adresse oder systemseitig erzeugter Benutzername

AOL (aol.com)
Posteingangsserver: POP3: pop.aol.com, IMAP: imap.de.aol.com
Postausgangsserver: smtp.de.aol.com (Port 587)
Benutzername: AOL-Name

AOL (aim.com / aol.de)
Posteingangsserver: POP3: pop.aim.com, IMAP: imap.aim.com
Postausgangsserver: smtp.aim.com (Port 587)
Benutzername: AOL-Name

Arcor
Posteingangsserver: POP3: pop3.arcor.de, IMAP: imap.arcor.de
Postausgangsserver: mail.arcor.de
Benutzername: Benutzername

bluewin.ch (bluemail.ch)
Posteingangsserver: imap.bluewin.ch (IMAP)
Postausgangsserver: smtpauth.bluewin.ch (Port 587)
Benutzername: E-Mail-Adresse

Chello
Posteingangsserver: pop.chello.at
Postausgangsserver: mgate.chello.at
Benutzername: Benutzername

directBOX
Posteingangsserver: pop3.directbox.com
Postausgangsserver: smtp.directbox.com
Benutzername: Benutzername@directbox.com

domainFACTORY
Posteingangsserver: POP3: pop3.IhreDomain.xyz, IMAP imap.IhreDomain.xyz
Postausgangsserver: smtp.IhreDomain.xyz
Benutzername: systemseitig erzeugter Benutzername

eclipso.de
Posteingangsserver: mail.eclipso.de (POP3, SSL Port 995)
Postausgangsserver: mail.eclipso.de (SSL Port 465)
Benutzername: Benutzername@eclipso.de

firemail.de
Posteingangsserver: firemail.de (POP3 und IMAP)
Postausgangsserver: firemail.de (Port 587)
Benutzername: Benutzername@firemail.de

freenetMail
Posteingangsserver: mx.freenet.de (POP3: SSL Port 995; IMAP: SSL Port 993)
Postausgangsserver: mx.freenet.de (STARTTLS; Port 587)
Benutzername: Benutzername@freenet.de
Bitte beachten: SMTP-Versand erst nach Freischaltung möglich.

goneo
Posteingangsserver: POP3: pop.goneo.de, IMAP: imap.goneo.de
Postausgangsserver: smtp.goneo.de
Benutzername: IhreE-Mail@IhreDomain.xyz

Gmail (Google Mail)
Posteingangsserver: POP3: pop.gmail.com (SSL Port 995), IMAP: imap.gmail.com (SSL Port 993)
Postausgangsserver: smtp.gmail.com (SSL Port 465 oder 587)
Benutzername: Benutzername@gmail.com
Bitte beachten: POP3- / SMTP-Zugriff erst unter “Einstellungen” aktivieren.

GMX
Posteingangsserver: POP3: pop.gmx.net (SSL Port 995), IMAP: imap.gmx.net (SSL Port 993)
Postausgangsserver: mail.gmx.net (SSL Port 465 / 587)
Benutzername: GMX-Kundennummer oder GMX-E-Mail-Adresse

Host Europe
Posteingangsserver: mail.IhreDomain.xyz (POP3 und IMAP)
Postausgangsserver: mailout.IhreDomain.xyz
Benutzername: Systemseitig erzeugter Benutzername

iCloud Mail (me.com)
Posteingangsserver: IMAP: imap.mail.me.com (SSL Port 993)
Postausgangsserver: smtp.mail.me.com (SSL Port 587)
Benutzername: Benutzername@me.com

Kabel BW
Posteingangsserver: pop.kabelbw.de
Postausgangsserver: smtp.kabelbw.de
Benutzername: Vollständige Kabel-BW-E-Mail-Adresse

Kabel Deutschland (ohne eigene Domain)
Posteingangsserver: pop3.kabelmail.de
Postausgangsserver: smtp.kabelmail.de
Benutzername: Komplette Kabel-Deutschland-E-Mail-Adresse
Mail-Versand funktioniert nur, wenn man über Kabel Deutschland mit dem Internet verbunden ist.

Kabel Deutschland (mit eigener Domain)
Posteingangsserver: pop.kabelhomepage.de
Postausgangsserver: smtp.kabelhomepage.de
Benutzername: Komplette E-Mail-Adresse

Kontent
Posteingangsserver: pop.kontent.com (POP3 und IMAP)
Postausgangsserver: smtp.kontent.com
Benutzername: Systemseitig erzeugter Benutzername

mail.de
Posteingangsserver: POP3: pop.mail.de (SSL Port 995), IMAP: imap.mail.de (SSL Port 993)
Postausgangsserver: smtp.mail.de (SSL Port 587)
Benutzername: Benutzername@mail.de

NetCologne
Posteingangsserver: POP3: pop3.netcologne.de (SSL Port 995), IMAP: imap.netcologne.de (SSL Port 993)
Postausgangsserver: smtp.netcologne.de (SSL Port 465 oder 587)
Benutzername: nc-nnnn (NetCologne-Benutzername)

O2 Online
Posteingangsserver: POP3: pop3.o2online.de (SSL Port 995), IMAP: imap4.o2online.de (SSL Port 993)
Postausgangsserver: smtp.o2online.de (STARTTLS; Port 587)
Benutzername: Benutzername@o2online.de

one.com
Posteingangsserver: POP3: pop.one.com (SSL Port 995), IMAP: imap.one.com (SSL Port 993)
Postausgangsserver: send.one.com (STARTTLS; Port 587)
Benutzername: IhreE-Mail@IhreDomain.xyz

Outlook.com
Posteingangsserver: POP3: pop-mail.outlook.com (SSL Port 995), IMAP: imap-mail.outlook.com (SSL Port 993)
Postausgangsserver: smtp-mail.outlook.com (STARTTLS; Port 25 oder 587)
Benutzername: Vollständige Outlook.com-E-Mail-Adresse

prosite.de
Posteingangsserver: POP3: pop.IhreDomain.xyz, IMAP: imap.IhreDomain.xyz
Postausgangsserver: smtp.IhreDomain.xyz
Benutzername: IhreE-Mail@IhreDomain.xyz

Smart-Mail
Posteingangsserver: POP3: pop.smart-mail.de, IMAP: imap.smart-mail.de
Postausgangsserver: smtp.smart-mail.de
Benutzername: Smart-Mail-E-Mail-Adresse

Strato
Posteingangsserver: POP3: pop3.strato.de, IMAP: imap.strato.de
Postausgangsserver: smtp.strato.de
Benutzername: IhreE-Mail@IhreDomain.xyz

T-Online
Posteingangsserver: POP3: securepop.t-online.de (SSL Port 995), IMAP: secureimap.t-online.de (SSL Port 993)
Postausgangsserver: securesmtp.t-online.de (SSL Port 465)
Benutzername: E-Mail-Adresse

UD Media
Posteingangsserver: mail.IhreDomain.xyz (POP3 und IMAP; SSL möglich)
Postausgangsserver: mail.IhreDomain.xyz (Port 587; STARTTLS möglich)
Benutzername: Systemseitig erzeugter Benutzername

Unitymedia
Posteingangsserver: mail.unitybox.de
Postausgangsserver: mail.unitybox.de
Benutzername: Komplette Unitymedia-E-Mail-Adresse

Vodafone
Posteingangsserver: POP3: pop.vodafone.de (SSL Port 995), IMAP: imap.vodafone.de (SSL Port 993)
Postausgangsserver: smtp.vodafone.de (STARTTLS; Port 587)
Benutzername: Vodafone-Adresse

WEB.DE
Posteingangsserver: POP3: pop3.web.de (SSL Port 995), IMAP (nur bei Club, nicht bei FreeMail): imap.web.de (SSL Port 993)
Postausgangsserver: smtp.web.de (bei STARTTLS Port 587)
Benutzername: Web.de-E-Mail-Adresse

WebGo24
Posteingangsserver: IhreDomain.xyz
Postausgangsserver: IhreDomain.xyz
Benutzername: webxxxpy (xxx=Webnummer, y=Postfachnummer)

Webhostone
Posteingangsserver: IhreDomain.xyz
Postausgangsserver: IhreDomain.xyz
Benutzername: Systemseitig erzeugter Benutzername

Yahoo! Mail
Posteingangsserver: POP3: pop.mail.yahoo.com (SSL Port 995), IMAP: imap.mail.yahoo.com (SSL Port 993)
Postausgangsserver: smtp.mail.yahoo.com (SSL Port 465)
Benutzername: Benutzername

Enrichment

SIEM: Enrichment – Implementierung des Realen Namen aus dem AD

Enrichment

Die funktion des Enrichment erlaubt es dem System, Events mit Daten anzureichern die in den ursprünglichen Logs nicht enthalten sind. Als Beispiel kann man hier die Benutzernamen nennen, den meistens sind diese kryptisch und daher ist es schwer zu erkennen, wer hinter der kryptischen bezeichnung steht. Wenn hier die Funktion der Anreicherung genutzt wird, wird der Benutzername durch den Klarnamen ersetzt.
Weitere Enrichment Informationen können die E-Mail Adresse, die Telefonnummer, oder der Ort des Computers und vieles mehr sein.

Als Beispiel möchte ich das oben beschrieben aufgreifen.

Konfiguration

Um das Enrichment konfigurieren zu können, wird die IP-Adresse, ein LDAP-User sowie das Passwort benötigt.

1. Oben rechts auf die Systemeigenschaften / System Properties klicken
2. Im neuen Fenster auf der linken Seite auf Data Enrichment klicken und mit Add ein neues Data Enrichment erstellen.
3.  Im neuen Fester “Main” wird dann als:

  • Enrichment Name: Real_Name_from_User_ID
  • Enable: Yes
  • Lookup Type: String
  • Enrichment Type: String
  • Pull Frequency: Daily At Specified Time
    • Daily Trigger Time: Zu der Zeit an der die Daten abgerufen werden sollen

4. Im nächsten Tab “Source”:

  • Type: LDAP
  • IP-Adresse: IP-Adresse des AD Server
  • Username: Domain\user_id
  • Passwort: Das Passwort eben

5. Im nächsten Tab “Query”:

  • Lookup Attribute: sAMAccountName
  • Enrichment Attribute: displayName
  • Query:
    • (objectClass=person)

6. Im nächsten Tab “Destination”:

  • Auf Add klicken
  • den Reciver auswählen
  • Lookup Field: Source User
  • Enrichment Field: Contact_Name
  • OK

Enrichment

 

 

 

 

 

 

7. Klick Finish

 

Watchlist_user$

SIEM: Watchlist – Filtern von Usernames mit einem $-Zeichen

Windows User und Maschinenaccounts

Wenn die Log-Daten aus Windows gelesen werden, kann es sein das im Log ein User mit einem $-Zeichen erscheint. Dieser User ist ein Maschinenaccount und kann in der regele ignoriert werden. Daher gibt es die Möglichkeit nach diesen Maschinenaccounts zu suchen und zu Filtern.

Watchlist Filter for Maschinaccounts

Zu erst muss natürlich eine neue Watchlist erstellt werden. Dazu wird oben rechts auf das Systemmenü geklickt. Anschließen im neu geöffneten Festner gibt es einen Menüpunkt mit dem Namen Watchlist. Hier kann über Add eine neue Watchlist hinzugefügt werden.

Als Namen für die neue Watchliste geben wir folgene Namenskonvention “dy” für dynamisch, “_d” dür täglich, “_Zahl” für die Uhrzeit und dann einen frei wählbaren Namen für die Watchlist. Wir nehmen hier Maschineaccount.

Das ganze sieht dann so aus:

  • Name: dy_d_24_Maschineaccount

Da wir hier eine dynamische Watchlist brauchen muss der Type auf dynamisch gestellt werden, die Daten in der Watchlist haben kein Verfallsdatum.

Im Source Tab setzten wir den Datentype auf ESM-String und geben als Query folgendes ein:

.*\$\s*$

Das ist regex und bedeutet das alle User mit einem $ am schluss in diese Watchlist geschrieben werden sollen.

Im Values Tab setzen wir den Type auf Destination User. Mit Run Now kann die Watchliste zu beginn mit Daten gefüllt werden. Der ESM sucht nun in allen ESM-Strings nach Usern mit einem $-Zeichen und schreibt sie in die Watchliste.